53 Statistiche sulla sicurezza di WordPress

Nessuno sa esattamente quanti siti WordPress vengano violati, ma la nostra migliore stima è di almeno 13.000 al giorno. Sono circa 9 al minuto, 390.000 al mese e 4,7 milioni all'anno.

Il 4,3% dei siti WordPress è stato violato. Quasi 1 sito WordPress su 25 è stato violato.

Ogni giorno vengono hackerati più di 30.000 siti web.

Il 10,4% dei siti WordPress era a rischio di essere violato a causa dell'utilizzo di plugin, temi o versioni di WordPress obsoleti.

Grazie alla sua popolarità e al suo uso diffuso, quasi 90.000 attacchi passano attraverso WordPress ogni minuto.

L'utilizzo di un plug-in per la protezione dei contenuti di WordPress è il modo migliore.

Consigliamo WPShield Content Protector a causa delle 15 diverse protezioni che include.

Si stima che l'8% dei siti WordPress venga violato da password deboli o rubate.

I proprietari di siti Web dovrebbero scegliere una password semplice in modo da non dimenticarla, ma assicurarsi che sia abbastanza difficile da poterla ricordare e che gli hacker non possano indovinarla.

Quando i siti WordPress non vengono aggiornati abbastanza regolarmente, sono particolarmente vulnerabili. I siti obsoleti causano il 61% degli attacchi.

Può sembrare falso, ma WordPress viene attaccato continuamente.

Secondo il rapporto annuale sui siti Web compromessi di Sucuri, WordPress è stato il CMS più comunemente violato nel 2021.

Il 95,6% delle infezioni rilevate da Sucuri riguardava siti WordPress.

1-WordPress – 95,6%

2-Joomla – 2,03%

3- Drupal – 0,83%

4- Magento – 0,71%

5- OpenCart – 0,35%

Vale la pena notare che solo perché Sucuri ha rilevato la maggior parte delle infezioni sui siti basati su WordPress non significa che WordPress stesso sia intrinsecamente vulnerabile.

wordpress.

Poiché WordPress è il CMS più popolare, è più probabile che gli hacker lo prendano di mira.

Oltre 9,7 milioni di indirizzi IP univoci hanno tentato di sfruttare le vulnerabilità nel 2020.

Le statistiche sono impressionanti, a mio parere, ma ciò che è ancora più impressionante è che il 99,6% di tutti gli exploit è stato impedito da Wordfence, e quelli rimanenti sono stati fermati da altre misure di sicurezza sul sito web.

Le password non sicure o rubate causano l'81% degli hack di WordPress.

Quasi tutti gli attacchi hanno preso di mira i siti Web per il defacing, quindi hanno tentato di iniettare script dannosi.

Le password vengono più comunemente rubate tramite attacchi di forza bruta, in cui gli hacker utilizzano software per accedere automaticamente a siti Web con nomi utente e password casuali.

Oltre 18 milioni di siti WordPress sono stati compromessi nel 2011 a causa di una vulnerabilità trovata in un plug-in chiamato TimThumb.

Il plug-in per la creazione di miniature di TimThumb per WordPress presentava una vulnerabilità di SQL injection.

Si stima che il 97% degli attacchi di WordPress sia automatizzato.

Come mai? Perché sono efficienti ed efficaci.

È facile per gli aggressori utilizzare attacchi automatici per trovare difetti in un sito Web prima che i loro proprietari possano risolverli. Anche gli attacchi automatici sono economici.

Gli hacker non hanno bisogno di pagare per gli esseri umani, solo applicazioni che scansionano le vulnerabilità per ore o giorni alla volta.

La migliore raccomandazione per la protezione di WordPress viene da Sucuri, che ha scoperto che l'84% dei siti Web non dispone di un firewall per applicazioni Web.

L'utilizzo di un plug-in di sicurezza di WordPress è essenziale anche per proteggere i siti Web dall'hacking.

Queste sono le 5 migliori raccomandazioni per l'indurimento che Sucuri ha trovato:

1- WAF mancante - 84%

2- Opzioni X-Frame – 83%

3- Nessun CSP – 82%

4- Rigorosa sicurezza dei trasporti – 72%

5- Nessun reindirizzamento a HTTPS – 17%

Almeno un plug-in firewall è installato dall'81% dei siti WordPress.

Il 64% degli amministratori di WordPress intervistati utilizza 2FA (autenticazione a due fattori), mentre il 36% no.

Il 65% degli amministratori di WordPress intervistati utilizza i plug-in del registro delle attività.

C'era il 96% degli amministratori di WordPress e dei proprietari di siti web che considerava la sicurezza di WordPress molto importante e il 4% che la considerava piuttosto importante.

Il 43% degli amministratori dedica 1-3 ore al mese alla sicurezza di WordPress

Il 35% degli amministratori dedica più di 3 ore al mese alla sicurezza di WordPress

Il 22% degli amministratori dedica meno di 1 ora alla sicurezza di WordPress.

Quasi tre quarti di tutti gli intervistati hanno affermato che l'aggiornamento del core e dei plug-in di WordPress è il loro compito di sicurezza più comune.

Le principali attività che i professionisti della sicurezza web svolgono per i loro clienti sono elencate qui:

1- 75% aggiorna CMS e plugin

2- 67% di siti di backup

Il 3-57% installa certificati SSL

4-56% monitora o scansiona i siti web alla ricerca di malware

Il 5-38% risolve i siti relativi a problemi di sicurezza

6-34% di vulnerabilità delle patch

Si consiglia di utilizzare l'aggiornamento automatico su WordPress per essere aggiornati automaticamente, ma è consigliabile aggiornare almeno mensilmente tutti i plugin e i temi.

Sono le statistiche sull'aggiornamento di WordPress:

1- 35 percento dei gestori di siti che aggiornano i propri siti web settimanalmente

2-20 percento che lo fa ogni giorno

3-18 percento che lo fa ogni mese

Il 4-21% utilizza un sistema di aggiornamento automatico quindi non è tenuto ad aggiornare manualmente i propri siti

Statistiche chiave sugli aggiornamenti e sui test di WordPress:

→ Il 52% dei proprietari e amministratori di WP intervistati ha abilitato gli aggiornamenti automatici per software, plug-in e temi di WP.

→ Il 25% testa sempre prima gli aggiornamenti in un ambiente di prova o di staging

→ Il 32% a volte testa gli aggiornamenti

→ Il 17% non testa mai gli aggiornamenti

→Il 26% testa solo gli aggiornamenti principali

Potrebbe sorprenderti che la fuga di notizie di The Panama Papers abbia esposto 4,8 milioni di e-mail a causa di una vulnerabilità in un plug-in di WordPress.

Oltre il 35% degli intervistati dedica meno di un'ora al mese alle attività di sicurezza, mentre il 22% dedica più di tre ore.

Senza contare gli exploit riusciti, il software di Wordfence ha impedito oltre 4 miliardi di tentativi di exploit e oltre 90 miliardi di tentativi di accesso dannosi nel 2020.

Prossima versione.

Si consiglia sempre l'ultima versione di WordPress. Al momento della stesura di questo documento, WordPress 6.1.0 è disponibile.

Diversi aggiornamenti di WordPress vengono rilasciati ogni anno per motivi di sicurezza e manutenzione.

La maggior parte dei siti WordPress non aggiornati è stata infettata, a dimostrazione del fatto che l'esecuzione di WordPress non aggiornato è solo in parte associata all'infezione

L'utilizzo dell'ultima versione di WordPress ridurrà al minimo il rischio che gli hacker attacchino il tuo sito.

Il malware è il tipo più comune di hack di WordPress visto da Sucuri durante la risposta agli incidenti.

I migliori hack di WordPress trovati da Sucuri

1- Malware 61,65%

2- Backdoor – 60,04%

3- Spam SEO – 52,60%

4- Strumento hacker – 20,27%

5- Phishing – 7,39%

6- Deturpazioni – 6,63%

7- Mailer – 5,92%

8- Contagocce - 0,63%

Circa il 29% degli hacker è stato violato da una vulnerabilità nel proprio tema WordPress, secondo un sondaggio condotto su circa 10.000 siti.

Secondo le stime, il 41% di tutti i siti Web ospitati dal proprio provider ha subito vulnerabilità sfruttate.

Poiché le società di hosting possono detenere migliaia di domini contemporaneamente, centinaia di siti Web potrebbero subire un impatto se viene rilevato un errore.

38.281 vulnerabilità

Il 99,42% di tutte le vulnerabilità di sicurezza all'interno dell'ecosistema WordPress sono state rilevate in temi e plug-in nel 2021. Si tratta di un aumento rispetto al 96,22% nel 2020.

Inoltre, il 92,81% delle vulnerabilità era dovuto a plugin, mentre il 6,61% era dovuto a temi.

Il 42% dei siti WordPress ha almeno un componente vulnerabile installato.

Si stima che il 91,38% dei plugin sia disponibile gratuitamente tramite il repository di WordPress.org, mentre solo l'8,62% è disponibile tramite marketplace di terze parti.

Quasi la metà (50%) delle vulnerabilità nel database di Patchstack nel 2021 sono vulnerabilità di cross-site scripting.

Le vulnerabilità più comuni di WordPress:

1- Cross Site Scripting (XSS) – 49,82,3%

2- Altri tipi di vulnerabilità combinati - 13,3%

3- Falsificazione di richieste cross-site (CSRF) – 11,2%

4- Iniezione SQL (SQLi) – 6,8%

5- Caricamento file arbitrario – 6,8%

6- Autenticazione interrotta - 2,8%

8- 7- Divulgazione di informazioni – 2,4%

9- Bypassare la vulnerabilità – 1,1%

10 -Escalation dei privilegi – 1,1%

In totale, l'84% di tutte le vulnerabilità di sicurezza su Internet è causato da scripting cross-site o attacchi XSS.

Il 39% delle vulnerabilità di WordPress è dovuto al cross-site scripting (XSS)

Il 52% di tutte le vulnerabilità di WordPress è dovuto a plugin obsoleti.

Ciò significa che puoi risolvere più della metà dei tuoi problemi di WordPress aggiornando i tuoi plugin.

Solo perché non sono stati violati in passato non significa che non saranno violati in futuro, quindi dovresti sempre tenere aggiornati i tuoi plugin se vuoi tenerli al sicuro.

Falsi plug-in SEO infettano oltre 4.000 siti Web WordPress.

La più grande vulnerabilità di sicurezza di WordPress deriva dai plugin.

WPScan ha riferito che il 52% delle 4.000 vulnerabilità note di WordPress sono causate da plugin, rispetto al 37% dal core di WordPress e all'11% dai temi.

Contact Form 7 era il plugin WordPress vulnerabile più comunemente identificato. È stato trovato nel 36,3% di tutti i siti Web infetti nel punto di infezione.

Tuttavia, è importante sottolineare che questo non significa necessariamente che Contact Form 7 fosse il vettore di attacco sfruttato dagli hacker in questi casi, ma solo che ha contribuito all'ambiente insicuro generale.

TimThumb è stato il secondo plug-in WordPress vulnerabile più comunemente identificato al momento dell'infezione ed è stato trovato nell'8,2% di tutti i siti Web infetti.

In ordine di numero di plugin WordPress vulnerabili identificati, ecco i primi dieci:

1- Modulo di contatto 7 (36,3%)

2- TimPollice (8,2%)

3- WooCommerce (7,8%)

4- Forme ninja (6,1%)

5- Yoast SEO (3,7%)

6- Elementore (3,7%)

7- Biblioteca Freemius (3,7%)

8- PageBuilder (2,7%)

9- File manager (2,5%)

10- Blocco WooCommerce (2,5%)

I prezzi individuali vanno da $ 50 a $ 4.800 per la rimozione del malware WordPress, ma non è prevista alcuna tariffa standard.

In genere, proteggere il tuo sito Web dal malware costa solo $ 8 per sito al mese, quindi è una decisione facile.

La più grande violazione dei dati al mondo si verifica a causa dell'hacking il 45% delle volte

Circa 3,86 milioni di dollari è il prezzo medio di una violazione dei dati, ma ovviamente può variare in base alle dimensioni dell'organizzazione, del settore, ecc.

I professionisti del Web intervistati ritengono che questi siano gli impatti più importanti di un attacco hacker di WordPress:

︎ Perdita di tempo – 59,2%

︎ Perdita di entrate – 27,2%

︎ Perdita di fiducia dei clienti – 26,4%

︎ Perdita di reputazione del marchio – 25,6%

︎ Nessuna interruzione – 17,6%